Datenklau

Guten Tag liebe Forum User.
Ein Kunde hat angefragt, ob es möglich sei, einen Datenklau via Netzwerk bzw USB Stick nachzuvollziehen.
Er kann nicht genau sagen, wie die Daten weggekommen sind. Nur, dass welche fehlen bzw kopiert wurden.
Betriebsystem WinXP Home bzw Proff. wusste er nicht genau. Netzwerkfreigaben existieren. Kann aber auch über einen USB Stick gewesen sein.

Die allgemeine frage lautet
Kann man das feststellen ob die Daten kopiert bzw. über das Netzwerk auf einen anderen Rechner gezogen wurden usw. Und wenn dann von wem. Welcher Benutzer da gerade angemeldet war.
Ich weis, für eine Beweiss wäre selbst das ziemlich dünn.
Aber es würde schon ein bischen was bringen.

Vielleicht noch eins. Kennt jemand ein Programm was so etwas protokolliert für die Zukunft.

Aus Schaden wird man schlauer!!

Ein Kunde hat angefragt, ob es möglich sei, einen Datenklau via Netzwerk bzw USB Stick nachzuvollziehen.

Zum Vergrößern anklicken....

Wenn der Zugriff im Netzwerk auf einen PC offen ist kann man ohne Probleme Daten kopieren, löschen oder verschieben und selbstverständlich auch auf exterene Speichermedien USB Harddisk oder Stick.

Oder verstehe ich Deine Frage falsch ?

Walter

???

Sitt schrieb:

Kennt jemand ein Programm was so etwas protokolliert für die Zukunft.

Zum Vergrößern anklicken....

Das sind solche Programme, bei denen Ad-aware, SpySweeper & Co. - im Idealfall - Alarm schlagen, und diese Tools sind rechtlich umstritten:

http://de.wikipedia.org/wiki/Keylogger :knuppel2:

Hi,

Thunderhill schrieb:

Das sind solche Programme, bei denen Ad-aware, SpySweeper & Co. - im Idealfall - Alarm schlagen, und diese Tools sind rechtlich umstritten:

http://de.wikipedia.org/wiki/Keylogger :knuppel2:

Zum Vergrößern anklicken....

Richtig, und ohne Zustimmung der betroffenen Personen und des Betriebsrates sind solche Tools als ilegal zu betrachten.

Gruß
Sven

Sitt schrieb:

Er kann nicht genau sagen, wie die Daten weggekommen sind. Nur, dass welche fehlen bzw kopiert wurden.
Betriebsystem WinXP Home bzw Proff. wusste er nicht genau. Netzwerkfreigaben existieren. Kann aber auch über einen USB Stick gewesen sein.

Zum Vergrößern anklicken....

Rein informativ für mich, woher weiß er denn das sie geklaut sind, bzw. kopiert wurden?

Ich würde nicht unbedingt nach einem Tool suchen was protokolliert,
sondern meine Umgebung dahingehend aufbauen, das jeder auch nur da Zugriff bekommt, wo er was machen darf. Also löschen, kopieren, zugreifen....

Gruß

McFly

Ach so OK.
Danke für eure Antworten.

Auf deine Frage McFly282
Rein informativ für mich, woher weiß er denn das sie geklaut sind, bzw. kopiert wurden?

Er hat einen Mitarbeiter entlassen. Und jetzt ist etwas in der Firma passiert oder auch mit einem Aktuellen Auftrag oder so....genau wollte er das nicht erklären. Geht mich ja auch nichts an. ..... Jedenfall hat er einen Verdacht und würde dies gerne bestätigt wissen.

Wie kann ich ihm jetzt helfen.
Führt Windows vielleicht irgendwo eine versteckte Log Datei, worin Netzwerkzugriffe Protokoliert werden.

Zu deiner Antwort PSDSven

Ich möchte ja nichts illegales auf seinem PC installieren, aber habe ich nicht das recht meine Daten oder auch Firmendaten zu Schützen. Wenn eine Freigabe im Netz gemacht ist auf die Leute zugreifen können und auch müssen. Haben diese immer die Möglichkeit, diese in irgendeine Form mitzunehem. Digital, auf Papier usw. Da wäre es doch sinnvoll eventuell zu wissen, wann und von wo der letzte Zugriff darauf erfolgte. Ob die Datei ausgedruckt wurde, usw.

Ich dachte, das es dafür eventuell eine Legale Business Lösung gibt. Hoffe ihr versteht was ich damit meine??

@Sitt,

Wenn's Kind in den Brunnen gefallen ist, ....

Natürlich gibt es Log-dateien, die normalerweise mitprotokollieren, wer sich anmeldet. Allerdings wird nicht dokumentiert, wer wann welche Dateien geöffnet, geändert, kopiert oder gelöscht hat. und prinzipiell gilt wohl, dass alles war ein Benutzer ansehen kann auch entwendet werden kann. Wenn's nicht auf mobile Datenträger kopiert, ausgedruckt oder per E-Mail verschickt wird oder durch den Hintereingang des PCs herausgezogen wird, bleibt immer noch die Methode der alten Spione im Papierkorb der Sekretärin nach Fehlausdrucken zu suchen oder einen Photoapparat zu nutzen. Oder noch einfacher der Chef versendet ein Angebot mit einem Total von ? 27 500.00 ohne zu bemerken, daß die Tracking-Optionen von Word aufgezeichnet und verraten haben, dass die Firma ursprünglich ? 24 800.00 haben wollte. Ein Narr wäre, wer ...

Nachträglich Beweise zu sichern ist schwer und muß unmittelbar erfolgen: Festplatte sichern, Datensicherungsbänder aus dem Rotationszyklus herausnehmen, gelöschte E-Mails vom Server zurückholen, gelöschte Dateien wiederherstellen (soweit noch möglich), .... Und all das muß rasch gehen.

All das funktioniert und hilft natürlich nur, wenn

- klare Regeln für die Mitarbeiter bestehen, wie mit Firmendaten umzugehen ist (wo zu speichern, wie welche Daten an wen weitergeben werden dürfen, wie fehlerhafte Ausdrucke zu behandeln sind, und, und, und,...)

- klar ist, ob private Internetnutzung erlaubt oder untersagt ist oder in welchen Umfang.

- gut definierte Netzwerkstrukturen mit entsprechenden Zugriffsrechten existieren

- klare Datenstrukturen mit Zugriffsrechten definiert sind

- definierte Back-up Routinen eingehalten werden

- ein Disaster Recovery Plan existiert

- u.s.w

Und wenn all das professionell definiert ist, dann muß der Mitarbeiter noch entsprechend eingewiesen werden, um sicherzustellen, dass er weiß, was er zu tun oder zu lassen hat.

Es hilft nichts ihm nachzuweisen, daß er einen Vertrag/Bestellung per E-Mail verschickt hat, wenn es keine Regel gibt, die besagt, daß Verträge/Bestellungen nur als Hardkopie mit Unterschrift von ... verschickt werden dürfen um gültig zu sein.

Wer die Haustüre sperrangelweit offen läßt, ist selbst schuld, wenn nach dem Urlaub etwas fehlt!

Paris

Ja das denke ich ja auch. Also kann ich meinem Kunden getrost sagen, tut mir leid. Pech gehapt.
Das nachzuweisen, ist leider nicht möglich.

Danke an alle die geantwortet haben.

wie wärs mit ner Destop-Firewall?
Dann wid er gefragt ob IP xy rein darf, oder passt diese Antwort nicht zur Frage?

Leider nicht direkt. Wenn ein Mitarbeiter da ist, dem ich vertraue. Und später stellt sich das als großer fehler heraus, dann habe ich ihm mit dem Programm ja schon zugriff gegeben. Loggd das Prog den mit was der jenige dann auf den Freigegebenen Ordnern macht???

Nun meine PFW logged wann von wem wie lange ein Zugriff stattgefunden hat.
Habe aber nur die Freeware-Version.

Mögliche Logs wären:
Netzwerk / NIPS / HIPS / Verhalten / Web
(was immer das bedeuten mag)
Also Netzwerk ist wer, wann, wie lange